Formål

Selv om syslog-protokollen er svært vanlig, opplever noen kunder utfordringer med å sette den opp på riktig måte. Denne bloggartikkelen inneholder noen anbefalte praksiser og veiledning gjennom prosessen med å installere syslog-proxyen, inkludert konfigurasjonen i LogPoint.

Hvorfor bruke syslog-proxyen?

En syslog-server kan enkelt konfigureres til å videresende logger, men standardkonfigurasjonen overfører ikke enhetens kilde-IP til LogPoint. Som et resultat av dette kan det være at noen deteksjonsregler, dashbord og rapporter ikke fungerer i LogPoint.

For å løse dette problemet er det nødvendig å implementere en riktig syslog-proxy-server, slik at enhetens kilde-IP-adresse videresendes riktig til LogPoint-serveren.

I denne artikkelen bruker vi rsyslog, som er en del av de fleste Linux-distribusjoner. Konfigurasjonstrinnene kan utføres på andre syslog-servere (som syslog-ng eller NxLog Enterprise Edition), men kan kreve en grundig gjennomgang av den tekniske dokumentasjonen.

Problembeskrivelse

Problem statement

Eksempelet ovenfor viser utfordringen med å arbeide med en syslog-reléserver som ikke er riktig konfigurert. Syslog-kildene ses gjennom én enkelt, svært aktiv IP-adresse (syslog-serveren). Dette fører til mange utfordringer:

  • Én enkelt behandlingspolicy må håndtere alle datakilder.
  • Administreringen av normaliseringsreglene blir kompleks. Mange heterogene parsere må aktiveres, mens noen av dem kan være i konflikt.
  • Ruting-policyer er vanskelige å konfigurere, spesielt når data må rutes til ulike lagre og tilpasses ulike lagringspolicyer.
  • Bruken av LogPoint-lisenser kan ikke overvåkes enkelt.
  • Noen dashboards, rapporter og deteksjonsregler vil kanskje ikke fungere umiddelbart, og krever derfor tilpasning.

Det finnes flere muligheter for å beholde enhetens kilde-IP-adresse:

  • implementere videresending av syslog over UDP eller TCP (eldre eller IETF-format)
  • implementere syslog-UDP-spoofing på rsyslog

diagram

I dette diagrammet er syslog-serveren riktig satt opp for å bevare kilde-IP-adressen til hver enhet sammen med syslog-serverens IP-adresse.  Dette gjør det mulig å bruke en spesifikk behandlingspolicy per datakilde. Når den er konfigurert, er syslog proxy transparent for LogPoint.

Konfigurering av UDP-spoofing på syslog-proxy-serveren

Formålet med rsyslogs UDP-spoofing er å erstatte den opprinnelige kilde-IP-adressen (rsyslog) med den opprinnelige IP-adressen til enheten.

Denne tilnærmingen har mange fordeler:

  • Syslog-proxyen vil være helt transparent og krever ingen spesifikk konfigurasjon i LogPoint
  • UDP-spoofing gir svært høy throughput
  • Den er ganske enkel å sette opp

 Men har også ulemper:

  • Nedstrøms datatap kan oppstå på grunn av bruk av UDP-protokollen
  • UDP-spoofingen kan identifiseres som en trussel av IDS/IPS- eller NDR-enheter
  • UDP-spoofingen fungerer ikke godt på rutere som bruker IP-maskering eller nettverksadresseoversettelse.

Konfigurering av UDP- og TCP-samling

Det første konfigurasjonstrinnet er å sikre at rsyslog-serveren kan motta oppstrømslogger via UDP eller TCP.

En enkel måte å oppnå dette på, er å sørge for at følgende linjer er til stede og kommenteres ut i /etc/rsyslog.conf :

 https://7qkiy1yofpnz20qc4wdcb9t6-wpengine.netdna-ssl.com/etc/rsyslog.conf

Konfigurering av videresending av UDP-spoof

Før du fortsetter må du sørge for at det ikke er noe problem for kunden eller organisasjonen å bruke syslog UDP. UDP er kjent for å være mindre pålitelig og mindre sikker enn TCP.

 Det første trinnet er å kontrollere at syslog proxy-serveren har rsyslogog omudpspoof-modulene installert. Hvis ikke, kan dette fikses med kommandoen nedenfor:

command

Ikke alle Linux-distribusjoner har omudpspoof-modulen.

I skrivende stund har Fedora og Redhat den, men ikke Ubuntu.

Hvis du ikke kan endre operativsystemet, er det fortsatt mulig å laste ned kildekoden til rsyslog og bygge den. Du må huske at det krever ganske mye jobb å installere og vedlikeholde den. Hvis mulig, anbefaler jeg å velge riktig distribusjon av Linux.

Det er enkelt å aktivere videresending av UDP-spoofing på syslog-proxy-serveren. Du trenger bare å opprette en konfigurasjonsfil under /etc/rsyslog.d med følgende innhold:

 /etc/rsyslog.d/99-fwlpspoof.conf

 https://7qkiy1yofpnz20qc4wdcb9t6-wpengine.netdna-ssl.com/etc/rsyslog.d/99-fwlpspoof.conf

Restart rsyslog-tjenesten for at denne konfigurasjonen skal tre i kraft.

Som tidligere nevnt er det ikke nødvendig med noen spesifikk konfigurasjon i LogPoint-serveren, bortsett fra den vanlige konfigurasjonen av enhets-, fetcher- og behandlingspolicyen.

Konfigurering av videresending over TCP eller UDP

Videresending over TCP er et svært allsidig og pålitelig alternativ til UDP-spoofing. Det er ingen begrensninger i videresendingsprotokollen, og det fungerer med IP-maskering og nettverksadresseoversettelse når kildeenhetens IP-tildeling administreres i LogPoint på sluttpunktet.

Konfigurering av UDP- og TCP-samling

Det første konfigurasjonstrinnet er å sikre at rsyslog-serveren kan motta oppstrømslogger via UDP eller TCP.

En enkel måte å oppnå dette på, er å sørge for at følgende linjer er til stede og kommenteres ut i /etc/rsyslog.conf

https://7qkiy1yofpnz20qc4wdcb9t6-wpengine.netdna-ssl.com/etc/rsyslog.conf

Konfigurering av syslog-proxy-serveren

/etc/rsyslog.d/99-fwlpudp.conf

https://7qkiy1yofpnz20qc4wdcb9t6-wpengine.netdna-ssl.com/etc/rsyslog.d/99-fwlpudp.conf

/etc/rsyslog.d/99-fwlptcp.conf

https://7qkiy1yofpnz20qc4wdcb9t6-wpengine.netdna-ssl.com/etc/rsyslog.d/99-fwlptcp.conf

Avhengig av hva som trengs, kan ulike syslog-formater vurderes ved videresending av syslogger – opplysningene nedenfor er hentet fra RSYSLOGs online-dokumentasjon(https://www.RSYSLOG.com/doc/v8-stable/configuration/templates.html):

RSYSLOG_SyslogProtocol23Format

Konfigurering av syslog-proxy i LogPoint

Konfigurasjonen er ganske enkel. Start med å angi syslog-proxy-enheten og kontroller at tidssonen er i samsvar med enhetens OS-konfigurasjon.

create_device

I neste trinn velger du Syslog Collector

Syslog Collector

Til sist krysser du av for alternativet «Use as Proxy» og lagre.

Syslog Collector

Nå som syslog-proxy-enheten er satt opp, kan vi angi enhetene som skal sende loggene gjennom den.

Utfør følgende trinn for hver enhet:

  1. Opprett en enhet
  2. Definer navn og IP-adresse(r)
  3. Kontroller at tidssonen samsvarer med enhetens OS-konfigurasjon

create device

  1. Velg Syslog Collector

Syslog Collector

  1. Velg gjeldende behandlingspolicy og kryss av for alternativet Uses Proxy. Velg deretter IP-adressen til proxy-serveren og vertsnavnet til angitt enhet.

syslog collector

Ferdig! Loggene skal rapporteres med riktig IP-adresse og tidsstempel i søkeresultatene.

I eksempelet nedenfor er logger209 på CET, mens logger210 bruker UTC.

logger209 is on CET whereas logger210 uses UTC

Contact LogPoint

Get in touch and learn why leading companies choose LogPoint:

GET IN TOUCH

Learn more about LogPoint

Book a Demo
Customer Cases
Customer Reviews